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Uw commissie Volksgezondheid, Welzijn en Sport heeft mij verzocht om 
te reageren op het bericht van de Autoriteit Persoonsgegevens «dat de 
ziekenhuiswebsites in strijd met wet bezoekers via cookies volgen». De 
aanleiding voor het door Autoriteit Persoonsgegevens (AP) verrichte 
onderzoek waren diverse berichten in de media en de Kamervragen over 
de constatering dat medische websites gezondheidsgegevens lekken. 

Helaas moet ik constateren dat de Autoriteit Persoonsgegevens (AP) 
concludeert dat 39 van de 85 onderzochte ziekenhuizen zonder 
toestemming cookies op hun website gebruiken, wat in strijd is met 
geldende privacywetgeving. Dat is onrechtmatig en ik betreur dat ten 
zeerste. Zoals ik al in eerdere Kamervragen het Kamerlid Dijkstra 
(Aanhangsel Handelingen II 2015/16, nr. 1904) over het zelfde onderwerp 
heb aangegeven is oneigenlijk gebruik van persoonsgegevens verkregen 
uit gezondheidssites of apps niet toegestaan en daarmee niet acceptabel. 
De regels rond de verwerking van persoonsgegevens zijn duidelijk. Deze 
zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp), waarop 
de Autoriteit Persoonsgegevens toeziet. 

Wettelijk kader 

De verwerking van persoonsgegevens, wat mogelijk het gevolg kan zijn 
van het plaatsen en het uitlezen van tracking cookies, valt onder de Wbp. 
Voor «tracking» cookies, waarmee het surfgedrag van internetgebruikers 
kan worden gevolgd, geldt - op basis van een eerder amendement Van 
Bemmel/Van Dam - het rechtsvermoeden dat hierbij sprake is van 
verwerking van persoonsgegevens. Daar waar cookies worden geplaatst 
via gezondheidssites kan zelfs sprake zijn van verwerking van bijzondere 
persoonsgegevens, wanneer iemands «zorg-zoekgeschiedenis» - en 
daarmee potentieel gegevens over iemands gezondheid -naar derden 
wordt doorgespeeld. Deze persoonsgegevens mogen in beginsel niet 
verwerkt worden zonder uitdrukkelijke toestemming van de persoon om 


kst-31765-212 
ISSN 0921 - 7371 

's-Gravenhage 2016 Tweede Kamer, vergaderjaar 2015-2016, 31 765, nr. 212 


1 





wie het gaat. De plaatser van tracking cookies, degene van wie de website 
is, zal dan ook aan de Wbp moeten voldoen, tenzij hij kan aantonen dat hij 
géén persoonsgegevens verwerkt. 

Specifieke regels voor het gebruik van cookies zijn daarnaast vastgelegd 
in de Telecommunicatiewet (Tw). De Autoriteit Consument en Markt 
(ACM) ziet erop toe dat de cookiebepaling wordt nageleefd. Ook de 
zogenaamde cookiebepaling (artikel 11.7a Tw) bepaalt dat voor het 
plaatsen en lezen van cookies toestemming nodig is van de gebruiker. 
Voorwaarde bij de toestemming is dat de gebruiker duidelijk en volledig is 
geïnformeerd over waar hij precies toestemming voor geeft en wat er met 
de gegevens gebeurt. Het wettelijk kader is in die zin duidelijk. 

Bevindingen Autoriteit Persoonsgegevens 

Ik betreur het dan ook dat de Autoriteit Persoonsgegevens onlangs heeft 
moeten constateren dat bijna de helft van de onderzochte ziekenhuizen 1 
zonder toestemming en daarmee in strijd met de geldende privacywet¬ 
geving cookies (laten) plaatsen. Ik sta er dan ook volledig achter dat de AP 
hier scherp op toeziet. Tegelijkertijd is het goed dat nu de verantwoorde¬ 
lijken aangesproken en verbeteringen in gang gezet worden. Ziekenhuizen 
zijn zelf verantwoordelijk dat hun websites voldoen aan de geldende wet¬ 
en regelgeving en dat de privacy van bezoekers wordt geborgd. Alleen zo 
kan de privacy van de bezoeker van de zorgwebsite gewaarborgd worden. 
Ik heb inmiddels vernomen dat de Autoriteit Persoonsgegevens 39 van de 
85 onderzochte ziekenhuizen en de brancheorganisaties van de zieken¬ 
huizen NVZ en NFU heeft gewezen op de overtredingen en eveneens heeft 
aangegeven over zes weken opnieuw de websites te zullen controleren. 
Als dan nog overtredingen worden geconstateerd, worden er maatregelen 
genomen, zo waarschuwt de Autoriteit. Ik ga er vanuit dat de ziekenhuizen 
hun verantwoordelijkheid nemen en hun websites en cookie-beleid voor 
die tijd op orde brengen. Tegelijkertijd verwacht ik dat door dit onderzoek 
van de AP het bewustzijn voor veiligheid en privacy in de gehele sector 
verder groeit. In mijn brieven van 16 maart (Kamerstuk 31 765, nr. 196) en 
21 juni (Kamerstuk 31 765, nr. 211) heb ik aangegeven dat ik zelf ook actie 
onderneem om de privacy van patiënten te beschermen en ben daarom 
gestart met een eigen onderzoek naar het gedrag en de cultuur rond de 
bescherming van patiëntgegevens waarover ik u voor eind van dit jaar 
informeer. 

Het plaatsen van cookies op zorgwebsites speelt niet alleen bij de 
ziekenhuizen, maar binnen de gehele zorgsector. Zoals ik in antwoorden 
op de eerder genoemde antwoorden van de Kamervragen van Kamerlid 
Dijkstra al aangaf ben ik ook met de leden van het Informatieberaad in 
gesprek om te kijken welke afspraken er extra nodig zijn om de privacy 
van patiënten te beschermen en de informatiebeveiliging van systemen te 
verhogen. In de eerstvolgende bijeenkomst van het Informatieberaad (in 
september) zal ik dit onderwerp opnieuw agenderen. 

De Minister van Volksgezondheid, Welzijn en Sport, 

E.l. Schippers 


1 Het ging hier om 39 van de 85 onderzochte ziekenhuizen. 
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